سلام دوستان عزیزم!

اکثر کاربرانی که به این قسمت مراجعه می کنند مشکل همگی غیر فعال شدن گزینه Show Hidden Files می باشد .
بنابراین دست به کار شدم تا بتونم روشهای از بین بردن این ویروس را پیدا کنم تا شما راحتر بتونید این ویروس را از روی سیستم خود پاک کنید .

در این تاپیک قصد دارم راه ها و برنامه هایی را براتون قرار بدم که بتونید از طریق این راه ها گزینه ی Show Hidden Files رو که در برنامه ی Folder Option مربوط به Windows Explorer هست را اگر کار نمی کند برگردونید .
( یعنی شما تیک Show Hidden Files رو میزنید ولی کار نمی کند و وقتی بر می گردید هنوز روی Do Not Show Hidden Files هست ! ) این مشکل به دلیل وجود ویروسهایی متعددی روی سیستم شما بوده است که با پاک شدن انها توسط انتی ویروس ها آثارشون باقی مانده .


حالا از کجاها بفهمیم که کامیپوتر ما ویروس گرفته است .

موقعی که شما وارد My Computer می شوید و روی درایو های ان راست کلیک می کنید و در این هنگام یک گزینه با یک زبان نامفهوم مطابق عکسی که قرار داده ام را می بینید .



یا اینکه وقتی روی درایو هایتان دوبار کلیک می کنید محتوای درایو های شما در یک صفحه جدید باز می شود .
یا موقع دابل کلیک کردن روی درایو هایتان پنجره Open With باز می شود و به شما می گوید Choose the program you want to use to open this file
یا هنگام کلیک بر روی درایو هایتان error ی به شما داده می شود .

یعنی سیستم شما ویروسی شده است . این ویروس ، ویروس autorun.inf می باشد . نحوه پاک کردن این ویروس را در قسمت پایین گفته ام .

همچنین این ویروس باعث از بین رفتن و پاک شدن Folder Options خواهد شد
و اگر شما گزینه های Show hidden files and folders و Hide protected operating system files (Recommended) را مارک دار کنید با ok کردن پنجره این گزینه کار نخواهند کرد . و دوباره به حالت اولیه باز خواهند گشت .

همچنین این ویروس باعث غیر فعال شدن Task Manageو Registry Editor خواهد شد .






اگر شما روی گزینه command prompt یا cmd نیز کلیک کنید یا باز نخواهد شد و پیغام زیر را خواهد داد یا اینکه به سرعت باز و بسته خواهد شد .
the command prompt has been disabled by your administrator

راههای ورود این ویروس از طریق قطعاتی خواهد بود که از طریق usb با سیستم شما ارتباط دارند . قطعاتی مانند فلش مموری ها ( کولدیسک ) ، موبایل ها ، رم ریدر ها و ...


نحوه از ببن بردن ویروس autorun.inf


روش اول :
ابتدا وارد My Computer شوید .
بعد از مشاهده لیست درایوها از نوار بالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنید
در پنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .
کمی پایینتر تیک گزینه Hide Protected Operationg System Files را بر دارید.حالا ok کنید
سپس با راست کلیک کردن و زدن open وارد درایو هایتان شوید
(حتما یادتون باشه با راست کلیک کردن و زدن open وارد درایو هایتان شوید اگر دوبار روی درایوی کلیک کنید باز هم ویروس فعال خواهد شد و دوباره همه چیز به حالت اول بر خواهد گشت . پس حتما با راست کلیک کردن و زدن open وارد درایوهایتان شوید(
سپس دنبال یک فایل به نام autorun.inf بگرید و ان را پاک کنید برای همه درایو ها این کار را انجام بدید .
بعد از این کار بلافاصله بدون هیچ معطلی سیستم خودتون را ریستارت کنید . یادتون نره حتما حتما بدون انجام هیچ کاری سیستم را ریستارت کنید .


روش دوم :
ابتدا با زدن کلید F8 سیستم را در حالت safe mode راه اندازی کنید و سپس از منوی استارت گزینه run را بزنید و سپس داخل ان cmd را تایپ کنید و ok بزنید .
عبارات زیر را یکی یکی نوشته و enter بزنید . این کار را برای تمامی درایو ها انجام دهید .
del x:/autorun.inf a:h
del x:/autorun.inf a:r
del x:/autorun.inf a:s

به جای x باید نام درایوها را بنویسید .


روش سوم :
copy.exe تروجانی است که گاهی اوقات در تمامی درایو های شما قرار میگیره و با هر بار کلیک بر روی درایو ها فایل autorun.inf فایل این فایل را اجرا می کنه .

یکی از روشهای پاک کردن این ویروس این است که ابتدا شما باید پروسه های temp1.exe و temp2.exe رو از بین ببرید . برای این کار ابتدا باید سیستم را به صورت safe mode راه اندازی کنید .

شما نباید روی درایو ها یتان دابل کلیک کنید چون با این کار ویروس autorun.inf که در درایو هایتان قرار دارد باعث فعال شدن پروسه های temp1.exe و temp2.exe می شود .

بعد از راه اندازی سیستم به صورت safe mode شما باید با راست کلیک کردن و زدن گزینه open وارد درایو c ویندوز شده و به پوشه windows و بعد هم پوشه system32 رفته و دو فایل temp1.exe و temp2.exe را حذف کنید .

البته در بعضی از نسخه های ویروس copy.exe ویروس autorun.inf حتی درون پوشه %win% هم وجود داره بنابراین حتما حتما برای ورود به درایوها پوشه ها را با راست کلیک باز کنید .

نکته : قبل از اینکار باید ابتدا این پروسه ها را از Task Manager پاک کنید . برای این کار با زدن کلید های ترکیبی ctrl + alt + delete وارد Task Manager بشید و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی انها و زدن end process حذف کنید .

ویروس autorun.inf با هر بار فعال شدن موجب میشه که دو فایل xcopy.exe و host.exe درون همون درایو فعال بشن و دوباره دو فایل temp1.exe و temp2.exe رو بسازن.

شما نباید فایل های xcopy.exe را با فایل های خود windows که درون پوشه ی system32 هستند اشتباه بگیرید .
برای تشخیص ویروس xcopy.exe و فایل xcopy.exe که در پوشه system32 است باید از حجم انها این دو را شناسایی کرد اگر فایل xcopy.exe حجمی معادل 32 کیلو بایت داشت مربوط به خود ویندوز می باشد در غیر این صورت ویروس خواهد بود .

حالا فایلهای سیستمی را مانند ورش اول از حالت هایدن خارج کنید و ویروس autorun.inf را پاک کنید و بعد هم به درایوهای خودتون نگاه کنید اگر فایلهایی با عنوان xcopy.exe و host.exe بودند با خیال راحت پاک کنید .



نحوه پاک کردن ویروس Copy.exe

اسامی دیگر این ویروس host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm
این ویروس یکی از خطرناک ترین ویروس ها هست که به عنوان یک پروسه در سیستم شروع به فعالیت و انتشار خودش می کنه و با توجه به اینکه بعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یک پیغام در زمان دابل کلیک کردن روی درایو و یا فولدر در محیط ویندوز می شوند .




برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که با نام های host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پیدا کنید و انها را پاک کنید .

تذکر : مواظب باشید این فایلها را با فایلهای اساسی سیستم عامل اشتباه نگیرید .

مهم : یکی از دلایل اصلی به وجود امدن این مشکل ویروس Autorun.inf هست که شما باید طبق روش هایی که در اموزش گفته ام ان را پاک کنید . این کار را حتما انجام دهید . یعنی حتما باید ابتدا ویروس Autorun.inf را طبق اموزش باید از بین ببرید .

سپس به این ادرس در رجیستری رفته و اگر کلیدی به اسم Copy.exe در زیر منوی MountPoints2 وجود داشت ان را پاک کنید .

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionExplorerMountPoints2


با این برنامه به طور کامل می توانید این ویروس را از بین ببرید .

کد:
http://www.securitystronghold.com/download/solutions/TrueSword4.exe


راههای دستی برای از بین بردن ویروسی که Show Hidden Files را غیر فعال می کند .

1- از Start Menu وارد Run بشید و در اونجا تایپ کنید : regedit
وقتی صفحه ی رجیستری باز شد ، از سمت چپ وارد این مسیر بشید :
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionExplorerAdvanced

در این قسمت ، در لیست متغیر هایی که سمت راست وجود دارند ، متغیر آبی رنگی ( DWORD Value ) رو به نام Hidden پیدا کنید و روی ان دابل کلیک کنید . اگر مقدارش ( Value data ) به 0 تغییر کرده ، ان را به 1 یا 2 تغییر دهید و OK کنید . حالا رجیستری رو ببندید و ریستارت کنید .


2- مسیر زیر رو دنبال کنید :
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionExplorerAdvancedFolderHidden]
4-اکنون در سمت راست پنجره ی Regedit روی Type دو بار کلیک کرده و مقدار آن رو برابر با group قرار دهید ( یعنی در پنجره ای که باز میشه کلمه ی group رو تایپ کنید ).
با این کار تونستید Show Hidden Files از دست رفته را که دیده نمی شد برگردونید .


3-مسیر زیر رو دنبال کنید :
HK LocalMachineSoftwareMicrosoftWindowsCurrentVer sionExplorerAdvancedFolderHiddenSHOWALL
در سمت راست پنجره ی Regedit مقدار CheckedValue رو برابر با 1 قرار بدید.



راههای دستی برای برگرداندن قسمتهای حذف شده از سیستم شما .

فعال ساختن ( Registry ( Regedit :

روش اول :
ابتدا وارد منوی start شده و روی گزینه run کلیک کنید و کلمه gpedit.msc را تایپ کنید .
در صفحه Group Policy به مسیر پایین بروید:
User Configuration> Administrative Templates> System
بعد از کلیک نمودن بروی System در سمت راست پنجره Group Policy بالای
Prevent access to registry editing tools دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نموده و بالای کلید OK کلیک نمایید اما پنجره Group Policy را نبندید!
حالا Regedit فعال شده است و شما میتوانید واردش شوید.


روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپس با نام Regedit.reg ذخیره کنید و بعد ان را اجرا کنید .

Windows Registry Editor Version 5.00
REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesSystem /v DisableRegistryTools /t REG_DWORD /d 0 /f



برگرداندن Run :
در صفحه Group Policy به مسیر پایین بروید:
User Configuration> Administrative Templates> Start Menu and Taskbar
بعد از کلیک نمودن بروی Start Menu and Taskbar، در سمت راست پنجره Group Policy بروی گزینه Remove Run menu from Start Menu دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نمایید. حالا گزینه Run فعال شده است.



برگرداندن Folder Option :
برای برگرداندن Folder Option به مسیر زیر در پنجره Group Policy بروید:

User Configuration> Administrative Templates> Windows Components> Windows Explorer
بعد از کلیک نمودن بروی Windows Explorer، در سمت راست پنجره Group Policy بروی Removes the Folder Options menu item from the Tools menu دابل کلیک نموده و از تب Setting گزینه Disable را علامت دار نمایید و بروی کلید OK کلیک نمایید .



فعال کردن task manager
برای فعال ساختن Task Manager در کادر محاوروی Run عبارت Gpedit.msc را تایپ نموده و اینتر کن و سپس به مسیر پایین برو:
User Configuration > Administrative Templates > System
حالا در زیر شاخه System بروی Ctr + Alt + Del کلیک کن و سپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و در تب Setting کزینه Disable را علامت دار کن. بعد از آن بروی کلید OK کلیک نموده و پنجره Group Policy را ببند.


روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپس با نام task manager.reg ذخیره کنید و بعد ان را اجرا کنید .

Windows Registry Editor Version 5.00
REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesSystem /v DisableTaskMgr /t REG_DWORD /d 0 /f



استفاده از برنامه ای که در زیر برای شما معرفی کرده ام

این برنامه قادر به انجام کارهای زیر می باشد .

از بین بردن ویروس های ravmon.exe و mdm.exe و SCVHOST.exe و SVCHOST.ini
فعال کردن قسمتهای زیر
NoFolderOptions, NoControlPanel, DisableTaskMgr, DisableRegistryTools, DisableCMD


و به حالت پیش فرض برگرداندن قسمتهای زیر

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionExplorerAdvancedFolderHiddenNOH IDDEN]
“CheckedValue”=dword:00000002

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionExplorerAdvancedFolderHiddenNOH IDDEN]
“DefaultValue”=dword:00000002

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsC
urrentVersionExplorerAdvancedFolderHiddenSHOW ALL]
“CheckedValue”=dword:00000001

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionExplorerAdvancedFolderHiddenSHO WALL]
“DefaultValue”=dword:00000002


کد:
http://javedkhalil.com/techBlog/wp-content/uploads/2007/11/ravmon-removal.rar
بعد از اجرا کردن برنامه سیستم خود را ریستارت کنید .



پاک کردن برنامه ی مخربی که پوشه ها را مخفی ( Super Hidden ) می کند

نام دقیق این برنامه ی مخرب Trojan.Win32.Delf.aam است .

با زبان برنامه نویسی Borland Delphi نوشته شده .

آی...... این Malware * مانند کرم های New Folder.exe و BronTok.A شبیه آی...... یک پوشه است !
بنابراین به سرعت منتشر می شود .

این برنامه ی مخرب تمام پوشه های Open شده توسط قربانی را Super Hidden می کند و یک نسخه از خودش را با همان نام در همان مـسـیـر کـپـی می کـنـد کـه اگـر Victim * آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شود !!

یعنی اگه Victim مبتدی باشه به زودی متوجه نمیشه که چه بلایی داره سر پوشه هاش میاد !

هــمــانــطـــور کـه می دانـیــد برای آشـکار کـردن فایـل ها و پوشـه های Super Hidden باید ابتدا در Folder OptionsView روی گزینه ی Show hidden files and folders کلیک کنید و پس از آن تیک گزینه ی (Hide protected operating system files (Recommended را بردارید و به پیغام امنیتی پاسخ مثبت و شستی OK را فشار دهید .

این Malware به Victim اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد !

ضمنا Registry Tools ، Windows Task Manager و Folder Options را Disable نمی کند .

پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگیری می کنه !

برای پاک کردن این ویروس می توانید از برنامه ای که نوشتم استفاده کنید .

کد:
http://feng1.persiangig.com/Programs/Anti%20T.Delf.aam.7z



نحوه پاک کردن ویروس W32/Saldost

این بدافزار اینترنتی پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را بر روی سیستم کپی می‌کند و سپس با تغییر دادن کلیدهایی در رجیستری باعث بروز مشکلاتی از جمله باز نشدن ‪Folder Option‬و مخفی نگه داشتن فایل‌های مخفی می‌شود.

از جمله کارهای دیگر این ویروس این است که خودش را در ریشه همه درایوها با نام ‪autoply.exe‬کپی کرده و در کنار آن فایلی با نام ‪Autorun.inf‬ایجاد می‌کند.

این عمل باعث می‌شود که هر گاه کاربر بخواهد به هر شکلی وارد هر درایوی شود، فایل مربوط به کرم اجرا گردد.
نوع ‪Autorun‬ایجاد شده به گونه‌ای است که اگر فایل ‪autoply.exe‬که خود کرم است از روی سیستم پاک شده ولی فایل ‪Autorun.inf‬باقی بماند، با دوبار کلیک کردن بر روی نام درایو پنجره ‪Open with‬نمایش داده می‌شود و کاربر نمی‌تواند وارد درایو شود. در این حالت با کلیک راست نمودن بر روی نام درایو و انتخاب گزینه “‪”open‬ نیز نمی‌توان وارد درایو شد





این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:
%TEMP%svchost.exe

%PROGRAMFILES%Sound UtilitySoundmax.exe

%PROGRAMFILES%Common FilesMicrosoft SharedMSshare.exe

%WINDIR%WebOfficeUpdate.exe

سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:

HKLMSOFTWAREMicrosoftWindowsCurrentVe rsionRun
SoundMax = %PROGRAMFILES%Sound UtilitySoundmax.exe

سپس کلیدهای در رجیستری را به شکل زیر تغییر می دهد:

HKCUSoftwareMicrosoftWindowsCurr entVersionExplorerAdvanced
Hidden = ۲
HideFileExt = ۲
ShowSuperHidde n = ۲

HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesExplorer
Nof olderoptions = ۲

HKLMSoftwareMicrosoftWindowsCurrentVersionPol iciesE xplorer
Nofolderoptions = ۱

HKLMSOFTWAREPoliciesMicrosoftWindows NT SystemRestore
DisableConfig = ۱
DisableSR = ۱

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:

کد:
http://www.imenantivirus.com/RegRepair.zip

همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:
HKEY_CLASSES_ROOTlnkfile

HKEY_CLASSES_ROOTpiffile

HKEY_CLASSES_ROOTInternetShortcut

و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:
HKEY_CURRENT_USERSoftware
و کلید زیر را در ﺁن ایجاد می نماید:
Install = b۲ed۳ (Dword - Value i s in hex)

بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پا ک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.
یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند، با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:

%PROGRAMFILES%Kazaa Lite My Shared Folder
%PROGRAMFILES%KazaaMy Shared Folder
%PROGRAMFILES%I cqShared Files
%PROGRAMFILES%emuleincoming
%PROGRAMFILES%GnucleusDo wnloadsIncoming
%PROGRAMFILES%KMDMy Shared Folder
%PROGRAMFILES%Lime wireShared
%PROGRAMFILES%XPCode
C:Inetpubftproot
به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:
WINDOWSsystem۳۲configsystemprofileMy Documents

WINDOWSsystem۳۲configsystemprofileStart MenuPrograms

WINDOWSsystem۳۲configsystemprofileStart MenuProgramsAccessories

WINDOWSsystem۳۲ configsystemprofileStart MenuProgramsAccessoriesEntertainment

WINDOWSsystem۳۲configsystemprofileStart MenuProgramsStartup…

WINDOWSsystem۳۲drivers

WINDOWSsystem۳۲spooldrivers

WINDOWSsystem۳۲spooldriversw۳۲×۸۶۳

این کرم برای اینکه بتواند خود را درون شبکه تکثیر کند، کامپیوترهای موجود در آن را جستجو کرده و با استفاده از درایوهای به اشتراک گذاشته شده، سعی می‌کند خودش را به شکل زیر بر روی آن سیستم‌ها کپی کند:

C$Documents and SettingsAll UsersStart MenuProgramsStartupAdobeUpdate.exe

این کار باعث می‌شود که پس از راه‌اندازی آن سیستم‌ها، ویروس به طور خودکار اجرا شده و عملیات تکثیری خود را بر روی آنها انجام دهد.
از جمله کارهای جالب این ویروس این است که خودش را در ریشه همه درایوها با نام autoply.exe کپی کرده و در کنار آن فایلی با نام Autorun.inf ایجاد می‌کند.
این عمل باعث می‌شود که هر گاه کاربر بخواهد به هر شکلی وارد هر درایوی شود، فایل مربوط به کرم اجرا گردد.
نوع Autorun ایجاد شده به گونه‌ایست که اگر فایل autoply.exe که خود کرم است از روی سیستم پاک شده ولی فایل Autorun.inf باقی بماند، با دوبار کلیک کردن بر روی نام درایو پنجره Open with نمایش داده می‌شود و کاربر نمی‌تواند وارد درایو شود. در این حالت با کلیک راست نمودن بر روی نام درایو و انتخاب گزینه Open نیز نمی‌توان وارد درایو شد. برای برطرف نمودن این مشکل بایستی فایل زیر را از روی سایت ایمن دانلود نموده و آن را بر روی سیستم خود اجرا نمایید:

کد:
http://www.imenantivirus.com/NoAutorun.zip

این کرم فایلی با نام Important.htm را در مسیرهای زیر بر روی سیستم کاربر کپی می‌نماید که حاوی جملاتی به زبان فارسی است:
%USERPROFILE%Desktop
%USERPROFILE%My Documents
یکی از نشانه‌های ویروس به نمایش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است





نحوه از بین بردن تروجان Win32/Agent.AEC یا ویروس Soundmix.exe

همون طور که می دونید اخیرا ویروسی به نام Soundmix.exe انتشار یافته و باعث الوده شدن بسیاری از سیستم های خانگی و اداره ها شده است . قصد دارم در این قسمت نحوه پاک کردن این تروجان را اموزش دهم .

شایع ترین راه انتقال این ویروس حافظه های فلش می باشد. هرچند که باز کردن برخی سایت های آلوده نیز می تواند این ویروس را در سیستم مستقر سازد
این ویروس با دستکاری رجیستری ، هر بار که ویندوز راه اندازی می شود خود را اجرا می کند. با اجرای هر فایل اجرایی در ویندوز نیز این فایل اجرا خواهد شد و پس از اجرا Processes آن را به هیچ عنوان نمی توان خاتمه داد.

این ویروس اجازه دیدن فایل های پنهان را به کاربر نمی دهد و فایل هایی که مخفی شوند دیگر قادر به مشاهده نخواهند بود. دسترسی به برخی سایت ها ممکن نمی باشد و این ویروس با اجرای خود منجر به ایجاد سربار روی سیستم ، کندی دستگاه ، بسته شدن ناخواسته برخی برنامه ها و احیانا بوت شدن خود بخود کامپیوتر می گردد.
همچنین با آلوده کردن حافظه های فلشی که به دستگاه متصل می گردند ، سعی به انتشار خود می کند.




راههای شناخت این تروجان

برای این که متوجه شوید که ایا سیستم شما الوده به این تروجان است یا نه از طریق فشرن همزمان سه کلید
Alt + Ctrl + Delete وارد Task Manager شوید و سپس به تب Processes رفته و در صورتی که فایل اجرایی Soundmix.exe در حال اجرا باشد سیستم شما به این تروجان آلوده شده است.

راه دیگر شناسایی این تروجان عدم نمایش پسوند فایلهاست

از طریق منوی Folder Option و فعال کردن گزینه Show Hidden files and folder و تایید آن در صورتی که پسوند فایلها نمایش داده نشوند سیستم شما به این تروجان الوده شده است.

این تروجان در درایو ویندوز و در مسیر زیر قرار میگیرد .
C:WINDOWSsystem32soundmix.exe

فایل کتابخانه ای ان نیز در مسیر زیر قرار میگیرد
C:WINDOWSsystem32dllcachezipexr.dll

این تروجان علاوه بر کاهش سرعت سیستم باعث عدم نمایش پسوند فایلها و جلوگیری از دسترسی شما به رجستری ویندوزتان می شود و باعث دزدیده شدن اطلاعات سیستم شما خواهد شد.

این ویروس خودش را در system32 با نام soundmix.exe و به صورت یک فایل سیستمی قرار می دهد .
یک کپی در dllcache با نام zipexr.dll نگه می دارد و اگر شما این فایل را پاک کنید بعد از این که سیستم بالا می اید هیچ فایل exe رو اجرا نمی کند .

سه قسمت را در رجیستری دستکاری می کند
SoftwareMicrosoftWindowsCurrentVersionRun
exefileshellopencommand
SOFTWAREMicrosoftWindowsCurrentVersionExplorer AdvancedFolderHiddenSHOWALL

بعد از اتصال حافظه فلش خود به سیستم روی آیکون حافظه که ایجاد شده است کلیک راست کنید. در حالت عادی گزینه های زیر بایستی نمایان گردد :
Open
Explore
Search
Autoplay
در غیر این صورت اگر نوشته هایی عجیب و غریب مشاهده گردد بیان گر وجود ویروس می باشد


راه پاکسازی Soundmix.exe یا تروجان Win32/Agent.AEC

در حال حاضر انتی ویروسهایی که توانایی شناسایی این ویروس را داردند آنتی ویروس NOD32 و کسپر اسکای و بیدیفندر می باشند شایان ذکر است این انتی ویروس ها نیز فقط در صورتی که به روز باشد توانایی پاکسازی Soundmix.exe را خواهد داشت .

در ضمن می توانید از برنامه ای که برای پاک کردن این ویروس درست شده است استفاده کنید .

کد:
http://mahdi7610.parsaspace.com/ANTI%20SOUNDMIX.rar


حل مشکل open with

اگر بر روی هر درایو کلیک می کنید پنجره open with باز می شود به دلیل پاک شدن فایلی می باشد که مسئول باز کردن درایو می باشد .
شما می توانید از برنامه زیر برای حل این مشکل استفاده کنید . البته قبل از ان باید ویروس autoran را از درایو های خودتون پاک کرده باشید . بعد از اجرا کردن برنامه باید چند دقیقه منتظر باشید تا برنامه کار خود را انجام دهد . بعد از اینکه کارش به اتمام رسید به شما پیغام می دهد . پس صبور باشید .

کد:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe



نحوه پاک کردن ویروس Virus Win32/Jeefo یا SVCHOST.EXE

بعلت وجود ویروسی مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه دیگری غیر از فایل اصلی ساکن می شود و اقدام به خرابکاری تمام فایلهای اجرایی exe می کند .
اکثر انتی ویروس ها SVCHOST.EXE را به عنوان ویروس می شناسند . در حالی که SVCHOST.EXE ویروس نیست بلکه ویروس فایل دیگری می باشد که خود را به این نام در اورده است .
این ویروس باعث می شود که برنامه ها درست اجرا نشوند . و طولانی بودن زمان الودگی سیستم باعث از کار افتادن سیستم عامل می شود.


نحوه پاک کردن ویروس
ابتدا سعی کنید System Restore را غیر فعال کنید .
برای این کار ابتدا روی my computer راست کلیک کنید و سپس properties را بزنید از پنجره باز شده به تب
System Restore رفته و تیک گزینه Turn off System Restore on all drives را بزنید و بعد پنجره را ok کرده و به سوال پرسیده شده جواب مثبت دهید .

حال ابتدا با زدن سه کلید ترکیبی ctrl + alt + delete وارد Task Manager شوید و به تب Processes رفته و از اوجا فایل SVCHOST.EXE در حال اجرا توی ویندوز را پاک می کنیم .

البته در تب Processes شما حداقل 4 تا یا بیشتر SVCHOST.EXE در حال اجرا می بینید که باید با برنامه های مدیریت پروسه های Task Manager بتونید این فایل را تشخیص دهید . زیرا این برنامه ها مسیر پروسه های اجرایی را در Task Manager نشان می دهند . این فایل بیشتر خود را با نام یوزر که در ان هستید (Log On) اجرا می کند .
حال به مسیر C:WINDOWS رفته و فایل SVCHOST.EXE را پاک می کنیم .
البته شما نباید فایل اصلی SVCHOST.EXE را که در مسیر C:WINDOWSSystem32 قرار دارد را پاک کنید .

بعد از این کار سیستم را ریستارت کنید .

سپس سیستم را در حالت safe mode راه اندازی کرده و انتی ویروس jeefogui را اجرا کنید .
ممکن است بعد از این عملیات بعضی از فایلهای exe شما از کار بیفتند که شما باید دوباره برنامه انها را نصب کنید .

انتی ویروس jeefogui
کد:
http://mahdi7610.parsaspace.com/jeefogui.rar


پاک کردن ویروسی که از طریق باهو مسنجر منتشر می شود

عملکرد این ویروس
1- در ابتدا ویروس صفحه شخصی اینترنت اکسپلورر (Default IE Page) را به یک سایت تغییر می دهد. در این صورت به هیچ طریق امکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن یک صفحه وب جدید، ویروس مجددآ خود را در سیستم شما کپی می کند.

غیر فعال کردن Task Manager و رجیستری
ایجاد فایلهایی با نام های svhost.exe , svhost32.exe , internat.exe


نحوه از بین بردن این ویروس و مشکل
ابتدا با استفاده از روشهای گفته شده در بالا Task Manager و رجیستری را فعال کنید .
اتصال خود به اینترنت را قطع کنید .
حال برای برگرداندن صفحه نخست مروگر خود به حالت قبل وارد رجیستری شوید .
ابتدا وارد منوی استارت شوید و روی گزینه run کلیک کنید و عبارت regedit را نوشته تا وارد رجیستری شوید .

میسر های زیر را با دقت پیدا نموده و در آنها وارد شوید حال اسم سایت مورد نظر را که در home page شما قرار گرفته است را پاک کرده و اسم سایت خودتان را بنویسید مثلا [URL="http://www.forum.p30world.com"]www.forum.p30world.com[/URL]

سپس به internet option رفته و این کار را هم انجام دهید se current- use default -use blank

HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain

HKEY_ LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain

HKEY_USERSDefaultSoftwareMicrosoftInternet ExplorerMain


انتی ویروس Y.V.Remover
کد:
http://mahdi7610.parsaspace.com/Y.V.Remover.zip


رفع مشکل غیر فعال شدن Home Page اینترنت اکسپلورر

1 . در کادر محاوره ای Run عبارت Regedit را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید تا محیط ویرایش رجیستری ظاهر شود .
2 . به مسیر زیر بروید و 2 متغییر DWORD با نام های RunOnceComplete و RunOnceHasShown به ارزش 1 بسازید .

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain

3 . محیط ویرایش رجیستری را ببندید و مجددا در کادر محاوره ای Run عبارت inetcpl.cpl را تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .

4 . در قسمت Home Page آدرس مورد علاقه ی خود را تایپ کنید و شستی OK را فشار دهید تا تنظیمات دلخواه ذخیره شود .

5 . اکنون Internet Explorer 7 را اجرا کنید و لذت ببرید .

کسانی که این مشکل را از راه اصولی حل کرده اند و اکنون دوست دارند روش فوق را تست کنند ، مراحل زیر را دنبال نمایید ...
1 . در کادر محاوره ای Run عبارت inetcpl.cpl ,6 تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .

2 . در زبانه ی Advanced دکمه ی Reset را فشار دهید تا کادر دیگری با عنوان Reset Internet Explorer Settings خودنمایی کند .

3 . مجددا روی دکمه ی Reset کلیک کنید تا تمام تنظیمات IE به حالت پیش فرض بر گردد .

4 . اکنون روش دوم را جهت تغییر Home Page تست کنید

اموزش از MB_Danger



نحوه از بین بردن ویروس services.exe

متاسفانه اکثر ویروسهایی که جدیدا به وجود می ایند همنام پروسه های مربوط به سیستم عامل می باشند به همین دلیل تشخیص انها هم برای کاربران و هم برای انتی ویروس ها نسبتا مشکل شده است .
و از کار انداختن انها نیز قدری سخت شده است .
و همین عامل می تواند یکی از نقاط ضعف سیستم عامل های ماکروسافت محسوب شود .


فعالیت های ویروس services.exe

اولین کاری که این ویروس انجام می دهد خودش را با نام فایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایل با نام همان فولدر می سازد که دارای پسوند exe می باشد .
و به فولدر هایی که مخفی می کند علاوه بر خصلت hidden خصلت سیستمی هم می دهد .

سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) در بعضی مواقع از قسمت folder option گزینه view رو مخفی میکند.
و اجازه دسترسی به بعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد .

و حتی با تعویض ویندوز هم فایلها از حالت مخفی خارج نخواهند شد . به خاطر این که با تعویض ویندوز هنوز اثرات این ویروس در دیگر درایو ها وجود دارد و تنها با کلیک کردن روی یکی از انها ویروس فعال شده و دوباره همه جا را الوده می کند .


نحوه از بین بردن ویروس services.exe

برای از بین بردن این ویروس ابتدا کدهای زیر را داخل note pad کپی کرده و با نام و پسوند rescue.bat در مسیر در مسیر c: ذخیره نمایید.

@echo off
:try
del c:windowsservices.exe
if exist c:windowsservices.exe goto try

حالا به منوی start رفته و روی گزینه run کلیک کنید و عبارتregedit را تایپ کرده و ok را بزنید. تا وارد محیط رجیستری شوید .
حال به مسیر زیر بروید.

HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservic eseventlog
روی فایل image path دوبار کلیک کرده و در این پنجره به جای %systemroot%system32services.exe عبارت c: escue.bat را تایپ کنید.

ویندوز را restart کنید.

دوباره به منوی start رفته و برنامه run را اجرا کرده و regedit را تایپ کرده و ok را بزنید.
حال به مسیر زیر بروید.

HKEY_LOCAL_MACHINEsystemcurrent control setserviceseventlog
روی فایل image path دوبار کلیک کرده و در این پنجره به جای c: escue.bat عبارت %systemroot%system32services.exe را تایپ کنید.
فایلهای مسیرهای زیر را پاک کنید .

HKEY_LOCAL_MACHINESOFTWAREMicrosoftserenta
و
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun
و
"services.exe"="%windir%services.exe"

حال تغییرات زیر را انجام دهید.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonshell
shell را از مسیر بالا باز کنید.حال به جای explorer.exe %windir%services.exe عبارت explorer.exe را تایپ کنید یعنی به عبارت ساده ته اون را پاک کنید.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonuserinit
userinit را از مسیر بالا باز کرده و به جای عبارت C:WINDOWSsystem32userinit.exe,,%windir%service s.exe
عبارت ,,%windir%services.exe را حذف نمایید یعنی مسیر به صورت زیر در می آید.
C:WINDOWSsystem32userinit.exe
به پوشه temp رفته و در صورت وجود فایل Service.exe ان را پاک کنید .

حالا آنتی ویروس های kaspersky و nod32 را update نمایید و سیستم را به طور کامل در حالت safe mode ویروس یابی کنید .
ضمناً بهتر است بعد از update و ویروس یابی ویندوز خود را عوض کنید.


anti spyware برای از بین بردن ویروس services.exe

این انتی spyware یکی از بهترین ها برای از بین بردن ویروس services.exe می باشد .

کد:
http://www.spywareremove.com/download/Free-SpyHunter-Scanner6p2s2.exe
فقط توجه داشته باشید که این anti spyware ویروس services.exe را پیدا می کند و برای از بین بردن انها حتما باید این برنامه کرک شده باشد .
این برنامه کرک شده نیست . اگه کسی کرک اونا پیدا کرد لطف کنه بده بزارمش اینجا تا دوستان دیگه هم استفاده کنند .



مهم : نحوه برگردوندن فایلهایی که به صورت سیستمی مخفی شده اند

همون طور که می دونید ویروس services.exe فایلهای شما را به صورت سیستمی مخفی می کند و شما قادر به دیدن اونها نیستید . شما می توانید از روش زیر به فایلهای خودتون دسترسی داشته باشد .
کافی است نام درایو و مسیر فایل خود را در مسیر زیر وارد کرده و سپس این مسیر را در run کپی کرده و سپس ok را بزنید تا فایلهای شما نمایان شوند.

attrib -r -a -s -h drive:file path

( به جای drive نام درایو حاوی فایل مخفی را بنویسید و به جای file path مسیر فایل را به طور کامل بنویید .)



روشی برای تشخیص این که فایلهای درون فولدر حذف شده اند یا اینکه به حالت سیستمی در امده اند

گاهی اوقات وقتی به داخل یکی از فولدرهایی که تعداد زیادی فایل درون ان داریم رجوع می کنیم با کمال تعجب متوجه می شویم که فولدر ما خالی است و هیچ یک از فایلهایی که قبلا وجود داشتند دیگر وجود ندارند .
در این قسمت روشی را به شما اموزش می دهم که با این روش می توانید متوجه شوید که ایا فایلهای شما واقعا حذف شده اند یا این که به حالت سیستمی مخفی شده اند .

برای اینکه بتونید فایلها را ببینید از منوی Start روی گزینه run کلیک کرده و سپس عبارت cmd را تایپ کنید و سپس ok را بزنید



بعد از باز شدن محیط cmd در ان تایپ کنید dir /A name_of_the_folder با این کار تمامی فایلهایی که به حالت سیستمی در امده اند قابل روئت خواهند بود . و شما متوجه خواهید شد که فایلها حذف نشده اند . و با استفاده از روش بالا می توانید انها را از حالت سیستمی خارج کنید .

نکته : name_of_the_folder نام فولدری می باشد که اطلاعات شما در ان مخفی شده است .





با این برنامه هم می تونید تا حدودی فایلهای Hidden شده خودتون را UnHidden کنید .

کد:
http://tetra.persiangig.com/Prog/Delphi/UnHiden.rar


بازگردانی سریع فایلهای مخفی شده

این هم روشی برای کسانی که می خواهند به سرعت به فایلهای مخفی خودشون دسترسی پیدا کنند .
برای این کار کافی است دستورات زیر را داخل Notepad کپی کنید و بعد ان را با نام و پسوند mahdi.bat ذخیره کنید و بعد ان را اجرا کنید . چند لحظه منتظر بمانید تا فایلهای مخفی نمایان شوند .
تذکر : با این روش فایلهای سوپر هایدن نیز قابل روئیت خواهند بود .



کد:
attrib -s -h C:*.* /s /d
attrib -s -h d:*.* /s /d
attrib -s -h E:*.* /s /d
attrib -s -h f:*.* /s /d
attrib -s -h g:*.* /s /d
attrib -s -h h:*.* /s /d


ویروس Win32/PSW.Agent.NDP

این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرها فایلهای مخفی را از حالت مخفی بیرون بیاورند .

این ویروس با دستکاری رجیستری ویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .
به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خود برمیگردند .
البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخل تمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun می کند .

دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازد که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند که شما متوجه ان نمی شوید .

البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .
مواظب باشید این دو فایل را اشتباه نگیرید .
سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .






نحوه پاک کردن ویروس Win32/PSW.Agent.NDP

در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید )

پنجره Task Manager را باز کنید (Ctrl-Alt-Delete) و برنامه های زیر را در صورت اجرا ببندید .
wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)

از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید .
در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید .

del c:autorun.* /f /a /s /q
این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .

در این مرحله در خط فرمان c: دستور زیر را تایپ کنید تا وارد پوشه system32 شوید :

C:cd windowssystem32
C:windowssystem32

در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .

*.*dir /a avp

در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .
attrib -r -s -h avpo.exe
del avpo.exe

بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید :

(Run egedit)
مسیر زیر را دنبال کنید :
HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run
در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .

در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .

در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید .

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL




ویروس kernel.exe

kernel ویروسی است که هر چند دقیقه یکبار با error ی که در زیر تصویر ان را قرار داده ام ظاهر می شود . اکثر کاربران به این ویروس گرفتار شده اند .

در واقع این یک ویروس نیست زیرا کار مخربی روی سیستم انجام نمی دهد . در واقع یک برنامه می باشد که شباهتی به ویروس دارد و به همین دلیل هیچ یک از انتی ویروس ها قادر به شناسایی و پاک کردن ان نیستند . حتی قوی ترین و به روز ترین انتی ویروس ها .
این ویروس از طریق صفحات html که از اینترنت ذخیره می کنید به وجود می اید .

این ویروس سه فایل با نام های kernal.vbs و kernal.exe و systems.exe دارد که هر سه فایل در پوشه C:WINDOWSsystem32 ذخیره می شوند .
در واقع این ویروس خود را جزء پروسه های سیستم عامل نیز می داند و در task manager در تب processes با نام kernel.exe در حال فعالیت می باشد .

این ویروس همه ی فایل های HTML و Htm رو آلوده میکند و به آخر فایل ها کدهای مخرب Vbscript رو که چند تا فایل با نام ها kernel.exe و kernel.vbs است را ایجاد میکند .
این ویروس حتی با تعویض سیستم عامل هم از بین نخواهد رفت .

از اثرات این فایل آلوده:
1- ارورهای پشت سر هم
2- باعث پایین آمدن سرعت کامپیوتر
3- باعث پایین آمدن سرعت اینترنت
4- دادن اطلاعات مثل یوزر و پسورد اینترنتتان به شخص هکر
5- آلوده کردن فایلهای HTML





نحوه پاک کردن ویروس kernel.exe

برای پاک کردن این ویروس شما باید ابتدا با زدن کلید های ترکیبی ctrl + alt + delete وارد task manager شوید و به تب processes رفته و فایلی با نام kernel.exe را پاک کنید .

سپس به مسیر زیر رفته C:WINDOWSsystem32 رفته و دو فایل با نام kernel و بک فایل با نام Systems را پیدا کرده و پاک کنید .

توجه داشته باشید شما در صورتی می توانید این فایلها را پاک کنید که پروسه kernel.exe را از task manager پاک کرده باشید . در غیر این صورت اجازه پاک شدن را به شما نخواهد داد .

سپس به منوی استارت رفته و عبارت msconfig را در run تایپ کنید و در قسمت startup اگر فایلهای بالا وجود دارند تیک انها را بردارید و سپس کامپیوتر را ریستارت کنید دوباره چک کنید که ویروس در حافظه بار نشده باشد .
بعد به internet temporary از طریق مسیر زیر رفته و تمام محتویات ان را خالی کنید .

:Documents and SettingsLocal SettingsTemporary Internet Files

برنامه هایی برای از بین بردن این ویروس

کد:
http://rapidshare.com/files/84805882/Setup.exe.html


نحوه پاک کردن ویروس BronTok.A :

در زیر به برخی از ویژگی های این ویروس اشاره می کنیم :

1 . Folder Options را حذف می کند !
2 . Registry Tools را قفل می کند !
3 . Task Manager نمی تواند فایل های مربوط به این ویروس را End کند !
4 . پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !
5 . اگر در کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ، سیستم بلافاصله Restart می شود !
6 . اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود !
7 . آیکون این ویروس شبیه آیکون یه پوشه است !

همانطور که می دانید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...
اگر شما برنامه ی Process Master را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند .

اما اگر ویروس BronTok.A روی سیستم شما نصب باشد ، خواهید دید که سه تا فایل دیگر با همین نام ها در
حال اجرا هستند !!
یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !

اما به راحتی میشود فهمید که کدام ویروسند و کدام فایل اصلی ویندوز ...
آن سه تا فایلی که مربوط به ویروس میشوند ، در پوشه ای غیر از System32 قرار دارند .
مسیر دقیقشان میشود :
C:Documents and SettingsUserLocal SettingsApplication Data
C نام همان درایویست که ویندوز در آن نصب گردیده و User نام کاربری است که ویروس در آن اجرا شده ...

بعد از اینکه با نرم افزار Process Master متوجه شدید که کدام ویروسند ، باید آن ها رو Kill process کنید .
اگر احیانا فایل های دیگری با نام های inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .البته به شرطی که مسیرشان غیر از System32 باشد ...

حالا وقت آن است که از نرم افزار Kill BronTok.A استفاده کنید .
پس از اینکه نرم افزار Kill BronTok.A کارش تمام شد ، آن را ببندید و به منوی Start برید و روی گزینه ی Search کلیک کنید .
در سمت چپ روی گزینه ی All files and folders کلیک کنید .
در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .اکنون تمام فایل های پیدا شده را پاک کنید .
دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .

scr،*.exe.*

اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش شبیه آیکون پوشه بود رو پاک کنید .
مجددا در فیلد All or part of the file name عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
job.*
تمام فایل های پیدا شده را پاک کنید .

باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .

اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید .

اکنون با خیال راحت کامپیوترتان را Restart کنید .

نکته : اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیات فوق را در همه ی کاربرها انجام دهید

این اموزش توسط دوست عزیزم MB_Danger تهیه شده است .




پاک کردن ویروس New Folder.exe

احتمالا تا حالا با ویروس New Folder.exe مواجه شده اید !
قسمتی از مشخصات این ویروس به شرح زیر است :
1 . آیکون آن شبیه آیکون یک پوشه است .
2 . اندازه ی آن 140 کیلوبایته .
3 . پس از اجرای این ویروس ، محتویات پوشه ی My Documents نمایش داده می شود .
4 . این ویروس تولید مثل هم می کنه !
5 . گزینه ی Turn Off Computer رو از منوی Start حذف می کنه .
6 . از اجرای Registry Tools ، windows Task Manager و System Configuration Utility جلوگیری می کنه .
7 . پس از مدتی Registry Tools و Task


:: موضوعات مرتبط: بخش ابزار سیستم , ریجستری و ویندوز و رفع مشکلات آن , ,
:: برچسب‌ها: کامل ترین تایپک برای از بین بردن ویرس Show Hidden Files ,